Secure Access to Use REST API configureren met Python

Inleiding

Dit document beschrijft de stappen om API-toegang te configureren en te gebruiken om resources informatie uit de Secure Access te halen.

Voorwaarden

Cisco raadt kennis van de volgende onderwerpen aan:

1. Python 3.x
2. REST API
3. Cisco beveiligde toegang

Vereisten

Aan deze eisen moet worden voldaan voordat verder kan worden gegaan:

• Cisco Secure Access-gebruikersaccount met de rol Full Adminuser
• Cisco Security Cloud Single Sign On-account (SCSO) om in te loggen op Secure Access.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Secure Access Dashboard
• Python

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Secure Access API biedt een standaard REST-interface en ondersteunt de OAuth 2.0 Client Credentials Flow. Meld u aan bij Secure Access en maak uw Secure Access API-toetsen aan om aan de slag te gaan. Gebruik vervolgens uw API-referenties om een API-toegangsteken te genereren.

Configureer de API-toets vanuit het Secure Access Dashboard voordat u de in dit artikel genoemde scripts uitvoert.

Een API-sleutel maken

Maak een API-sleutel en geheim met deze stappen. Aanmelden voor beveiligde toegang met de URL: Secure Access

1. Selecteer de optie in de knoppenbalk linksAdmin. 
2. Selecteer onderAdminde optie API Keys:

Secure Access Dashboard Admin - API-toetsen

3. Klik in de rechterbovenhoek op de +  knop om een nieuwe API-sleutel toe te voegen:

Secure Access - API-sleutel toevoegen

4. Verstrek het API Key Name, Description(Optioneel) en selecteer hetKey scopeenExpiry date volgens uw vereisten. Klik op de knop als u klaar bent Create:

Secure Access - API-toetsgegevens

5. Kopieer deAPI Keyen de Key Secret afbeelding en klik opACCEPT AND CLOSE:

Secure Access - API-sleutel en geheim

Python-code

Er zijn meerdere manieren om deze code te schrijven, in aanmerking genomen dat de gegenereerde token gedurende 3600 seconden (1 uur) geldig is. U kunt twee afzonderlijke scripts maken waarin het eerste script gebruikt kan worden om het Bearer Token te genereren en vervolgens een tweede script waarin dat Bearer Token gebruikt kan worden om de API aanroep (ophalen/bijwerken of verwijderen) te maken aan de bron waarin u geïnteresseerd bent, of u kunt één script schrijven om beide acties te ondernemen terwijl u ervoor zorgt dat als een token aan toonder al gegenereerd is, een voorwaarde in de code wordt gehouden dat er geen nieuw token aan toonder gegenereerd wordt telkens als het script wordt uitgevoerd.

Om het werkend in python te maken, moet u deze bibliotheken installeren:

pip install oauthlib
pip install requests_oauthlib

Script 1:

Vermeld de juiste gegevensclient_idenclient_secretin dit script:

import requests
from oauthlib.oauth2 import BackendApplicationClient
from oauthlib.oauth2 import TokenExpiredError
from requests_oauthlib import OAuth2Session
from requests.auth import HTTPBasicAuth



token_url = 'https://api.sse.cisco.com/auth/v2/token'

client_id = "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
client_secret = "XXXXXXXXXXXXXXXXXXXXXXXXX"



class SecureAccessAPI:
    def __init__(self, url, ident, secret):
        self.url = url
        self.ident = ident
        self.secret = secret
        self.token = None

    def GetToken(self):
        auth = HTTPBasicAuth(self.ident, self.secret)
        client = BackendApplicationClient(client_id=self.ident)
        oauth = OAuth2Session(client=client)
        self.token = oauth.fetch_token(token_url=self.url, auth=auth)
        return self.token


# Get token
api = SecureAccessAPI(token_url, client_id, client_secret)
print("Token: " + str(api.GetToken()))

Uitvoer:

De output van dit script moet er zo uit zien:

Token: {'token_type': 'bearer', 'access_token': 'eyJhbGciOiJSUzI1NiIsImtpZCI6IjcyNmI5MGUzLWxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...', 'expires_in': 3600, 'expires_at': 1707767804.6489065}

Hetaccess_tokenis erg lang met duizenden tekens en om de output leesbaar te houden, is het alleen voor dit voorbeeld ingekort. 

Script 2:

Deaccess_tokenvan Script 1 kan dan in dit script worden gebruikt om API-oproepen te maken. Als voorbeeld, gebruik Script 2 om de informatie over de Groepen van de Tunnel van het Netwerk te halen die het middel gebruiken/deployments/v2/networktunnelgroups:

import requests
import pprint
import json
url = "https://api.sse.cisco.com/deployments/v2/networktunnelgroups"

BT = "eyJhbGciOiJSUzI1NiIsImtpZCI6IjcyNmI5MGUzLWxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...'"

headers = { 'Authorization':f"Bearer {BT}"
,"Accept": "application/json" }

response = requests.request('GET', url, headers=headers)

json_object = json.loads(response.content)
pprint.pprint(json_object)

Uitvoer:

De output van dit script moet er zo uit zien:

Python-uitvoer - Network Tunnel Groups

U kunt ook informatie opvragen over beleid, roamingcomputers, rapporten, enzovoort, met de Secure Access Developers Gebruikershandleiding.

Problemen oplossen

De Secure Access API-endpoints gebruiken HTTP-responscodes om aan te geven of een API-aanvraag is geslaagd of mislukt. Over het algemeen wijzen codes in het 2xx-bereik op succes, codes in het 4xx-bereik op een fout die het gevolg is van de verstrekte informatie, en codes in het 5xx-bereik geven serverfouten aan. De aanpak om het probleem op te lossen, zou afhangen van de responscode die wordt ontvangen:

REST API - Antwoordcodes 1

REST API - Antwoordcodes 2

Gerelateerde informatie

• Gebruikershandleiding voor Cisco Secure Access
• Cisco technische ondersteuning en downloads
• API-toetsen voor beveiligde toegang toevoegen
• Gebruikershandleiding Ontwikkelaars